Modus Penipuan Baru Di Gmail, Rekening Langsung Lenyap

Jakarta, detikai.com - Modus penipuan siber makin beragam. Terbaru, penjahat memanfaatkan celah di sistem Google untuk mengirim email tiruan nan terlihat sah. Bahkan email tersebut sukses lolos semua pemeriksaan keamanan seperti DomainKeys Identified Mail (DKIM).

Targetnya adalah mencuri akun Google dan berpotensi menguras rekening korban. Pasalnya, akun Google kerap digunakan untuk memverifikasi akun keuangan. Jika dibobol, bukan tak mungkin akun keuangan bisa turut bocor dan rekening dicuri penjahat.

Dalam laporan Bleeping Computer, seorang developer utama Ethereum Name Service (ENS), Nick Johnson, menjadi korban percobaan serangan ini.

Ia menerima email nan terlihat resmi dari "[email protected]". Email tersebut berisi permintaan norma atas akun Google-nya.

Parahnya, email ini lolos verifikasi dan ditempatkan berbarengan dengan peringatan keamanan original Google, nan membuatnya seolah email original dan makin susah dikenali.

Setelah ditelusuri, portal "dukungan" nan disebutkan dalam email tersebut rupanya dibuat melalui platform Sites Google, bukan domain resmi accounts.google.com. Ini memperkecil kecurigaan lantaran tetap berada di lingkungan Google.

Para penjahat siber juga menggunakan teknik nan dikenal sebagai DKIM Replay Phishing. Caranya, mereka mendaftarkan domain baru, membikin akun Google dengan alamat seperti me@domain, lampau membikin aplikasi OAuth dengan nama nan menyisipkan pesan phishing.

Ketika Google mengirim notifikasi keamanan ke alamat ini, email tersebut terbaca sah secara teknis, lampau diteruskan kepada calon korban.

Karena DKIM hanya memvalidasi isi pesan dan header, bukan sampulsurat email, maka pesan tiruan ini tetap dianggap sah oleh sistem Google dan terlihat meyakinkan di kotak masuk korban.

Bukan hanya Gmail nan jadi sasaran. Metode serupa pernah digunakan pada PayPal, di mana pelaku memanfaatkan opsi "gift address" untuk mengirim konfirmasi tiruan nan juga lolos pemeriksaan DKIM.

Pakar keamanan dari EasyDMARC menegaskan bahwa metode ini sangat rawan lantaran korban tidak sadar bahwa mereka sedang diarahkan ke situs penipuan nan nyaris identik dengan laman resmi.

Untuk itu imbauan bagi pengguna Gmail dan platform digital lainnya agar tetap waspada.

Jangan mudah percaya dengan email nan mengatasnamakan perusahaan besar, apalagi jika tampilannya tampak 100% resmi.

Selalu cek URL situs, perhatikan tanda-tanda mencurigakan, dan aktifkan verifikasi dua langkah untuk menambah lapisan keamanan.

(fab/fab)

Next Article Modus Baru Penipu Sedot Rekening, Hati-hati Lihat Diskon di Medsos